BlockBeats notícia, 29 de abril, o protocolo de cross-chain ZetaChain revelou que, em relação ao recente ataque de vulnerabilidade de aproximadamente 334 mil dólares, a questão de segurança envolvida foi previamente reportada por investigadores no programa de recompensas por bugs, mas na altura foi considerada pela equipa do projeto como uma «ação prevista» e não foi tratada.
De acordo com a análise do incidente publicada oficialmente, o ataque originou-se de uma combinação de três falhas de design que pareciam independentes e de baixo risco:
O contrato Gateway permite que qualquer pessoa envie instruções de cross-chain arbitrárias;
O lado receptor pode quase executar chamadas a qualquer contrato, e a restrição de lista negra é demasiado estreita;
Algumas carteiras mantêm permissões ilimitadas (Unlimited Approval) por longos períodos sem serem limpas.
O atacante acabou por combinar essas falhas, instruindo o Gateway a transferir tokens diretamente para o seu endereço de controlo, concluindo assim a transferência de ativos. A ZetaChain afirmou que, neste ataque, ocorreram 9 transações nas quatro cadeias Ethereum, Arbitrum, Base e BSC, e os fundos roubados provinham de carteiras controladas pela ZetaChain, sem afetar os fundos dos utilizadores.
A equipa oficial afirmou que o ataque foi claramente premeditado. Antes do ataque, o atacante já tinha financiado a carteira através do Tornado Cash há três dias, além de ter implantado previamente um contrato Drainer dedicado, e também realizou um ataque de contaminação de endereços (Address Poisoning).
Atualmente, a ZetaChain começou a enviar patches de correção para os nós principais da rede, desativou permanentemente a funcionalidade de chamadas arbitrárias (arbitrary call), e alterou o mecanismo de permissões ilimitadas no processo de depósito para uma «autorização de limite preciso».
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
A HKMA alerta para tokens fraudulentos que se passam por emitentes licenciados de stablecoin a 28 de abril
A Autoridade Monetária de Hong Kong (HKMA) emitiu um aviso público a 28 de abril relativamente a tokens digitais fraudulentos em circulação sob os nomes de dois novos emitentes de stablecoin recentemente licenciados. Os tokens com os símbolos "HKDAP" e "HSBC" surgiram no mercado sem autorização da Anchorpoint Financial Limited ou da The Hongkong and Shanghai Banking Corporation Limited, ambas as quais receberam as primeiras licenças do Hong Kong para emitentes de stablecoin a 10 de abril
GateNews18m atrás
Dados do Cliente da Zondacrypto Oferecidos para Venda na Darknet por 550 Euros e 0.6 BTC
De acordo com o Bitcoin.pl, os dados do cliente da falida bolsa polaca Zondacrypto foram oferecidos à venda na darknet, com dois pacotes disponíveis. O pacote mais pequeno, que contém endereços de e-mail e dados básicos de identificação, tem um preço de aproximadamente 550 euros, enquanto o conjunto maior—incluindo
GateNews3h atrás
Aftermath Finance Foi Hackeada, 1,1M USDC Roubados em 36 Minutos na Rede Sui
De acordo com a Blockaid, o protocolo de contrato perpétuo da Aftermath Finance na Rede Sui sofreu um ataque em curso, com aproximadamente 1,1 milhões de USDC roubados através de 11 transacções em 36 minutos. A vulnerabilidade resultou de uma falha no registo de taxas no sistema de liquidação do contrato perpétuo, que permitiu aos atacantes inflacionar garantias sintéticas e retirar fundos do tesouro do protocolo, wh
GateNews3h atrás
30 Plugins Maliciosos no ClawHub Disfarçados de Ferramentas de IA, Descarregados Mais de 9.800 Vezes
De acordo com o investigador da Manifold, Ax Sharma, 30 plugins no ClawHub disfarçados de ferramentas de IA legítimas foram descarregados mais de 9.800 vezes, convertendo secretamente os assistentes de IA dos utilizadores em trabalhadores de criptomoeda. Os plugins, publicados sob a conta imaflytok, parecem ser escalonadores de tarefas e ferramentas de monitorização de rotina, mas contêm instruções ocultas que executam operações não autorizadas.
Uma vez instalados, os plugins registam automaticamente os assistentes de IA dos utilizadores em servidores de terceiros, geram carteiras de criptomoeda e extraem chaves privadas sem consentimento nem notificação do utilizador. Os assistentes, em seguida, fazem check-in de 4 em 4 horas à espera de atribuições de tarefas. Sharma salientou que os plugins não contêm código malicioso detetável por analisadores de segurança, recorrendo apenas a interfaces padrão e a ferramentas legítimas, o que os torna difíceis de identificar através de análises de segurança convencionais.
GateNews4h atrás
Ethereum Sofre 4 Ataques a Contratos Inteligentes em 48 Horas, Perdas Excedem 1,5 Milhões de Dólares
Notícia da Gate, 29 de abril — a rede principal do Ethereum sofreu quatro ataques a contratos inteligentes nas últimas 48 horas (27-29 de abril), resultando em perdas combinadas superiores a 1,5 milhões de dólares, segundo a GoPlus Security.
Os incidentes incluíram um ataque ao contrato agregador Onchain, causando perdas de 983.000 dólares
GateNews6h atrás
